“FIC2018”

En un intento de proteger a los usuarios de Android contra el malware, Google ha estado trabajando en un servicio que permita detectar y eliminar aplicaciones maliciosas de sus dispositivos utilizando. En este sentido, recientemente sacaron a la luz Google Play Protect, una función de seguridad que utiliza aprendizaje automático y análisis de uso de aplicaciones para verificar si los dispositivos tienen aplicaciones potencialmente peligrosas.

Este servicio ha ayudado a los investigadores de Google a identificar una nueva familia de spyware que estaba robando información a los usuarios de Android.

Descubierta en dispositivos de países africanos, Tizi es una puerta trasera de Android que instala aplicaciones de spyware en los dispositivos de las víctimas para robar datos confidenciales de aplicaciones populares de redes sociales como Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn o Telegrama.

"El equipo de seguridad de Google Play Protect descubrió esta familia en septiembre de 2017 cuando
 los escáneres de dispositivos encontraron una aplicación con capacidades de rooteo que explotaban
 vulnerabilidades antiguas", dijo Google en una publicación en su blog. "El equipo utilizó esta 
aplicación para encontrar más aplicaciones en la familia Tizi, la más antigua de ellas es desde octubre
 de 2015".

Según apuntan desde Google, la mayoría de las aplicaciones infectadas con Tizi se anuncian en sitios web de redes sociales y tiendas de aplicaciones de terceros. Una vez instalada, la aplicación obtiene acceso de root del dispositivo infectado para instalar el spyware. Tras ello, se pone en contacto con sus servidores de comando y control enviando un mensaje de texto SMS con las coordenadas GPS del dispositivo infectado a un número específico. Así, obtiene acceso de root en dispositivos infectados y se hace con su control.

Para obtener acceso al root, Tizi explota las vulnerabilidades ya conocidas de chips, dispositivos y versiones de Android anteriores, incluidos CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013- 2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636 y CVE-2015-1805.

Si la puerta trasera no puede tener acceso de root en el dispositivo infectado porque éste ya ha parcheado las vulnerabilidades anteriormente citadas, “intentará realizar algunas acciones a través del root, principalmente en lectura y envío Mensajes SMS y monitoreo, redireccionamiento y prevención de llamadas salientes ” apuntan desde Google.

De momento, Google ha identificado 1.300 dispositivos Android infectados por Tizi (la mayoría de ellos se ubicaron en países africanos, específicamente Kenia, Nigeria y Tanzania) y los ha eliminado. Sin embargo, no está de más maximizar las precauciones ya que la puerta trasera de Tizi es capaz de realizar varias acciones:

  • Robo de datos de plataformas populares de redes sociales como Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn y Telegram.
  • Grabación de llamadas de WhatsApp, Viber y Skype.
  • Envio de mensajes SMS.
  • Acceso a eventos del calendario, registro de llamadas, contactos, fotos y lista de aplicaciones instaladas
  • Robo de claves de cifrado de Wi-Fi.
  • Grabación de audio ambiental y toma de imágenes sin mostrar la imagen en la pantalla del dispositivo.

Así puedes proteger tu dispositivo Android

No es la primera, ni será la última vez en que Android sea atacados por los cibercriminales. De hecho, el sistema operativo de Google se ha convertido en una de las dianas favoritas de estos delincuentes. Tanto es así que una investigación realizada por expertos de la Universidad Técnica de Brunswick en Alemania, afirma que 4 de las 35 tiendas inspeccionadas en dos países diferentes de la Unión Europea hacen uso de este tipo de técnicas espía.

Por ello, si posees un dispositivo Android, te recomendamos que sigas estos simples pasos para protegerlo:

  • Asegúrate de que ya cuentas con Google Play Protect.
  • Descargua e instala aplicaciones solo desde Play Store oficial, y siempre verifique los permisos para cada aplicación.
  • Habilita la función ‘verificar aplicaciones’ desde la configuración.
  • Protege sus dispositivos con un bloqueo de PIN o contraseña para que nadie pueda obtener acceso no autorizado a tu dispositivo.
  • Mantén las “fuentes desconocidas” deshabilitadas mientras no lo estés usando.
  • Mantén tu dispositivo siempre actualizado con los últimos parches de seguridad.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario